[发明专利]基于串行通信总线信号分析的工控系统物理入侵攻击检测方法

说明书

本发明公开一种基于串行通信总线信号分析的工控系统物理入侵攻击检测方法，通过总线控制器主动向通信总线中发送检测信号，监测设备对通信总线进行信号的采样分析后，与设备数据库中存储的标准信号进行差分对比，并利用降噪技术、弱信号检测技术在差异信号中进行入侵信号的检测，根据由物理入侵设备所引起的入侵信号的检测结果，能快速、有效地判断出系统中是否存在外部恶意设备，确定系统是否遭受物理入侵攻击的安全状态，解决了现有利用网络防御方法无法有效检测物理入侵攻击的工控系统串行通信总线网络的安全性技术问题。

技术领域

本发明属于工业控制系统攻击检测技术领域，特别涉及一种基于串行通信总线信号分析的工控系统物理入侵攻击检测方法。

背景技术

工业控制系统是应用于电力、工业生产、交通、加工制造等领域的自动化控制系统，该系统主要依靠控制中心对各层级网络中设备的运行状态进行监测，并对现场采集到的物理量测数据进行处理分析，从而维持系统的稳定和安全。随着通信技术的发展和信息网络的融合，各领域间工控系统的级联关系使得其整体变得日益庞大和复杂，在工控系统从集中式控制到分布式控制的转变过程中，虽然提升了系统整体的控制效率和响应速度，但却降低了控制中心对处于底层或边缘的总线级网络的安全监管能力。尤其是对于处于无人监守场所中的工业基础设施，更无法保证设备本身的安全性。

2017年，美国塔尔萨大学的Staggs博士及其团队公布了一种针对风电场的攻击“Windshark”，他们通过撬开风力发电设备的服务器机柜，在其中物理接入了通信设备，从而实现对风电场内部系统的控制和恶意操作，对风电场内的涡轮机和自动化控制器都造成了损坏。从这一案例中可以看出，当前大多数的工业控制系统都无法很好地防护物理式入侵攻击，攻击者甚至可以很轻易的在工控系统终端的串行通信总线网络内物理接入通信设备，利用接入设备篡改通信总线上的通信信号，亦或是伪造恶意指令、数据发送到串行通信总线上，造成串行通信总线网络中设备工作的异常，甚至扰乱系统的稳定运行，这对于工控系统来说是极大地威胁。

在传统的工控系统中，对于常见的网络入侵式攻击，已经有很多安全防御方法的研究，例如通过网络通信加密算法来保证信息安全，通过流量监测来防止恶意数据注入，通过入侵检测系统来识别恶意攻击行为等，然而上述方法在工控系统的物理入侵攻击面前却很难适用。一方面，工控系统的串行总线通信网络缺乏安全保障，在遭受物理入侵之后没有很有效的方法去检测系统中是否存在外部设备，在通信时又缺乏相应的身份认证机制；另一方面，在串行通信总线网络中，由于工业设备通信的实时性要求，以及设备本身的弱计算能力，串行通信总线协议中很难依靠设计完善的加密算法来保证信息可靠，且这些协议在设计之初都是对外界公开的，攻击者很容易利用这些协议截获信息或是伪造指令。以上两点都说明，工控系统串行通信总线网络存在物理入侵的安全隐患，同时又很难对入侵系统的外接设备进行检测，这将会给工控系统的稳定运行造成极大的不良影响。

发明内容

本发明的目的在于提供一种基于串行通信总线信号分析的工控系统物理入侵攻击检测方法，用于防止工控系统可能面临的物理入侵攻击威胁，并能有效解决在工控系统串行通信总线网络中利用传统的网络入侵防御方法不能有效检测系统中存在的恶意外接设备的安全问题。

为了实现上述目的，本发明采用如下技术方案：

基于串行通信总线信号分析的工控系统物理入侵攻击检测方法，包括：通过串行通信总线网络中的总线控制器主动向通信总线中发送检测信号，监测设备对通信总线进行信号的采样分析后，与设备数据库中存储的标准信号进行差分对比，并利用降噪技术、弱信号检测技术在差异信号中进行入侵信号的检测，根据由物理入侵设备所引起的入侵信号的检测结果，有效地判断出系统中是否存在外部恶意设备，确定系统是否遭受物理入侵攻击。

进一步的，具体包括以下步骤：

S1：串行通信总线网络中的总线控制器按照设定的时间周期监听工控系统中串行通信总线的使用情况：